РОЗДІЛ 3 ПОРЯДОК ЗДІЙСНЕННЯ ЗАХИСТУ ІНФОРМАЦІЇ НА ОБ’ЄКТАХ ІНФОРМАЦІЙНОЇ ДІЯЛЬНОСТІ
Технічний захист інформації здійснюється поетапно:
1-ий етап – визначення й аналіз загроз;
2-ий етап – розроблення системи захисту інформації;
3-ий етап – реалізація плану захисту інформації;
4-ий етап – контроль функціонування та керування системою захисту інформації.
3.1. Визначення й аналіз загроз
Говорити про безпеку об'єкта (системи) можна, лише маючи на увазі, що за допомогою цього об'єкта або над цим об'єктом відбуваються якісь дії. У цьому сенсі, якщо об'єкт не діє, а саме: не функціонує (не використовується, не розвивається і т. д.), або, кажучи іншими словами, не взаємодіє з зовнішнім середовищем, то і розглядати його безпеку безглуздо. Отже, об'єкт необхідно розглядати в динаміці та у взаємодії із зовнішнім середовищем.
У деяких випадках можна говорити про безпеку системи при її зберіганні. Але навіть при зберігання системи взаємодія з зовнішнім середовищем неминуча.
При функціонуванні об'єкта завжди переслідуються певні цілі. Сукупність дій, що здійснюються об'єктом для досягнення певної мети, реалізується у вигляді результатів, які мають значення для самого об'єкта. Якщо мета операції або сукупності цілеспрямованих дій досягнута, то безпеку операції, а отже, інформації, що циркулює в системі, забезпечено.
Проблема дослідження критичних ситуацій і факторів, які можуть становити певну небезпеку для інформації, а також пошуку та обґрунтування комплексу заходів і засобів з їх усунення або зниження характеризується такими особливостями:
– великою кількістю чинників небезпечних ситуацій і необхідністю виявлення джерел і причин їх виникнення;
– необхідністю виявлення і вивчення повного спектра можливих заходів і засобів парирування небезпечних факторів з метою забезпечення безпеки.
У статті А. І. Алексєнцева «Поняття і структура загроз захищуваної інформації» визначення загрози сформульовано таким чином: «Загроза захисту – сукупність явищ, факторів і умов, що створюють небезпеку порушення статусу інформації». Тобто, загроза інформації обумовлена цілком певними факторами, сукупністю явищ і умов, які можуть скластися в конкретній ситуації.
Відносно інформаційної системи всю сукупність загроз можна розбити на дві групи: зовнішні і внутрішні, кожна з яких, в свою чергу, ділиться на умисні й випадкові загрози, які можуть бути явними і прихованими.
Виявлення та аналіз загроз захисту є відповідальним етапом при побудові системи захисту інформації на підприємстві. Більшість фахівців вживають термін «загрози безпеки інформації». Але безпека інформації – це стан захищеності інформації від впливів, що порушують її статус. Отже, безпека інформації означає, що інформація знаходиться в такому захищеному вигляді, який здатний протистояти будь-яким дестабілізувальним впливам.
Будь-яка загроза не зводиться до чогось однозначного, вона складається з певних взаємопов'язаних компонентів, кожен з яких сам по собі не створює загрозу, але є її невід'ємною частиною, загроза виникає лише при сукупній їх взаємодії.
Загрози захисту інформації пов'язані з її вразливістю, тобто нездатністю інформації самостійно протистояти таким дестабілізувальним впливам, що порушують її статус. Реалізація загроз призводить, в залежності від їх характеру, до однієї або кількох форм прояву уразливості інформації. При цьому кожній з форм прояву уразливості (або декільком з них) притаманні певні, що стосуються тільки до її загрози з набором відповідних компонентів. Структура конкретної загрози зумовлює конкретну форму. Однак повинна існувати і загальна, так би мовити, типова структура загроз, яка складає основу конкретних загроз. Ця загальна структура повинна базуватися на певних ознаках, характерних для загрози захисту інформації.
Перш за все, загроза повинна мати якісь сутнісні прояви. А будь-який прояв, виявлення чогось прийнято називати явищем. Отже, однією з ознак і разом з тим однією зі складових загрози повинні бути явища.
Але в основі будь-якого явища лежать відповідні причини, які є його рушійною силою і які, в свою чергу, зумовлені певними обставинами або передумовами. Ці причини і обставини (причини) відносяться до чинників, що створюють можливість дестабілізувального впливу на інформацію. Таким чином, фактори є ще одним приймачем і другою складовою загрози.
Разом з тим чинники можуть стати спонукальною силою для явищ, а останні можуть «спрацювати» лише при наявності певних умов (обставин) для цього. Наявність умов для дестабілізувального впливу на інформацію є третьою ознакою і ще одною складовою загрози.
Визначальною ознакою загрози є її спрямованість, результат, до якого може призвести дестабілізувальний вплив на інформацію. Цим результатом у всіх випадках реалізацій загрози є порушення статусу інформації.
Таким чином, загроза інформації – це сукупність явищ, факторів і умов, що створюють небезпеку порушення статусу інформації.
До явищ сутнісних проявів загрози, відносять:
– джерела дестабілізувального впливу на інформацію (від кого або від чого виходить дестабілізувальний вплив);
– види дестабілізувального впливу на інформацію (яким чином (за якими напрямами) відбувається дестабілізувальний вплив);
– способи дестабілізувального впливу на інформацію (якими прийомами, діями здійснюються (реалізуються) види дестабілізувального впливу).
До факторів, крім причин і обставин, слід віднести наявність каналів і методів несанкціонованого доступу до конфіденційної інформації для впливу на інформацію з боку осіб, які не мають до неї дозволеного доступу.
Що стосується складу структурних частин загрози, то необхідно підкреслити: стрижневими, вихідними є джерела дестабілізувального впливу на інформацію, від їх складу залежать і види, і способи, і кінцевий результат впливу. Хоча склад інших структурних частин загрози також відіграє істотну роль, він на відміну від джерел, не носить визначального характеру і прямо залежить від джерел. Разом з тим ще раз слід зазначити, що джерела самі по собі не є загрозою, якщо від них не виходить той чи інший вплив.
Розглянемо джерела дестабілізуючого впливу на інформацію. До них належать:
- люди;
- технічні засоби відображення (фіксації), зберігання, обробки, відтворення, передачі інформації, засоби зв`язку;
- системи забезпечення функціонування технічних засобів відображення, зберігання, обробки, відтворення і передачі інформації;
- технологічні процеси окремих категорій промислових об'єктів;
- природні явища.
Найпоширенішим, різноманітним і найнебезпечнішим джерелом дестабілізувального впливу на захищувану інформацію є люди, які ділять на такі категорії:
– співробітники даного підприємства;
– особи, які не працюють на підприємстві, але мають доступ до інформації, що захищається підприємством в силу службового становища;
– співробітники державних органів розвідки інших країн і розвідувальних служб конкуруючих вітчизняних та зарубіжних підприємств - конкурентів;
– особи з кримінальних структур, хакери.
У частині співвідношення з видами і способами дестабілізувального впливу на інформацію ці категорії людей поділяються на дві групи: мають доступ до носіїв захищуваної інформації, технічних засобів її відображення, зберігання, обробки, відтворення, передачі і систем забезпечення їх функціонування і не мають такого.
Різниця в конкретно застосовуваних видах і методах дестабілізувального впливу на інформацію між названими групами людей (при однотипності видів і методів) зумовлена переслідуваними цілями. Основною метою другої групи людей є несанкціоноване отримання (розкрадання) інформації, що є ІзОД. Знищення, перекручення, блокування інформації стоять на другому плані, а нерідко і не є метою. Дестабілізувальний вплив з боку цієї групи людей в переважній більшості випадків є навмисним (умисним, свідомим). До того ж, для того щоб здійснити дестабілізувальний вплив на конфіденційну інформацію, людям, що входять в цю групу, потрібно мати канал несанкціонованого доступу до неї.
Для першої групи людей несанкціоноване отримання ІзОД взагалі не є метою в силу наявності у них доступу до такої інформації. Цілями дестабілізувального впливу з боку цієї групи є розголошення, несанкціоноване знищення, блокування, спотворення інформації (перераховано послідовно, відповідно до ступеня інтенсивності впливу, від більшої інтенсивності до меншої). Розкрадання інформації також притаманне даній групіи, але воно є не метою, а засобом для здійснення знищення або розголошення інформації. Предметом впливу з боку цієї групи є не тільки конфіденційна інформація (хоча вона в першу чергу), але і захищувана частина відкритої інформації. Вплив з боку людей, що входять до цієї групи, може бути як навмисним, і ненавмисним (помилковим, випадковим). Слід, однак, домовитися про те, що по об'єктах доступу ця група неоднорідна за своїм складом. До неї входять люди, які мають доступ і до носіїв захищуваної інформації, і до засобів відображення, зберігання, обробки, відтворення і передачі інформації (до всіх або частини з них), і до систем забезпечення функціонування цих засобів, люди, які мають доступ тільки до інформації і (іноді або) до засобів її обробки (всіх або окремих); люди, допущені тільки до системи забезпечення функціонування засобів.
Найрізноманітнішим це джерело є тому, що йому, порівняно з іншими джерелами, притаманна значно більша кількість видів і способів дестабілізувального впливу на інформацію.
Найнебезпечнішим це джерело є тому, що, по-перше, воно наймасовіше, по-друге, сторонній вплив носить не епізодичний, а постійний характер, по-третє, як уже зазначалося, його вплив може бути не тільки ненавмисним, як з боку інших джерел, але і навмисним, і, по-четверте, цей вплив може призвести до всіх форм прояву уразливості інформації (з боку інших джерел – до окремих форм).
Технічні засоби відображення, зберігання, обробки, відтворення, передачі інформації і засоби зв'язку є другим за значенням джерелом дестабілізувального впливу на захищувну інформацію в силу їхнього різноманіття, а також існуючих з їх боку способів дестабілізувального впливу. До цього джерела належать:
– електронно-обчислювальна техніка;
– електричні та автоматичні друкарські машинки і копіювально-розмножувальна техніка;
– засоби відео- та звукозаписувальної і відтворювальної техніки;
– засоби телефонного, телеграфного, факсимільного, гучномовного передавання інформації;
– засоби радіомовлення і телебачення;
– засоби радіо і кабельного зв'язку.
Третє джерело дестабілізувального впливу на інформацію охоплює системи електропостачання, водопостачання, теплопостачання, кондиціонування.
До четвертого джерела відносяться технологічні процеси об'єктів ядерної енергетики, хімічної промисловості, радіоелектроніки, а також об'єктів з виготовлення деяких видів озброєння і військової техніки, які змінюють природну структуру навколишнього середовища.
П'яте джерело – природні явища – це стихійні лиха і атмосферні явища.
3.2 Методика виявлення способів впливу на інформацію
Залежно від джерела і виду свого впливу він може бути безпосереднім на захищувану інформацію або опосередкованим, через інше джерело впливу.
З боку людей можливі такі види впливу:
1. Безпосередній вплив на носії захищуваної інформації;
2. Несанкціоноване розповсюдження конфіденційної інформації;
3. Вихід з ладу технічних засобів відображення, зберігання, обробки, відтворення, передачі інформації і засобів зв'язку;
4. Порушення режиму роботи перерахованих засобів та технології обробки інформації;
5. Вихід з ладу і порушення режиму роботи систем забезпечення функціонування названих засобів.
Способами безпосереднього впливу на носії захищуваної інформації можуть бути:
– фізичне руйнування носія (поломка, руйнування і ін.);
– створення аварійних ситуацій для носіїв (підпал, штучне затоплення, вибух і т. д.);
– видалення інформації з носіїв;
– створення штучних магнітних полів для розмагнічування носіїв;
– внесення фальсифікованої інформації у носії.
Цей вид дестабілізувального впливу призводить до реалізації трьох форм прояву уразливості інформації: знищення, спотворення і блокування.
До безпосереднього впливу на носії захищуваної інформації можна з застереженням віднести і ненавмисне залишення їх в неохоронній зоні, найчастіше в громадському транспорті, магазині, на ринку, що призводить до втрати носіїв.
Несанкціоноване розповсюдження ІзОД може здійснюватися шляхом:
– словесної передачі (повідомлення) інформації;
– передачі копій (знімків) носіїв інформації;
– показу носіїв інформації;
– введення інформації в обчислювальні мережі;
– опублікування інформації в пресі;
– використання інформації у відкритих публічних виступах, в тому числі по радіо, телебаченню.
До розголошення може призвести і втрата носіїв інформації. Цей вид дестабілізувального впливу призводить до розголошення ІзОД.
До способів виведення з ладу технічних засобів відображення, зберігання, обробки, відтворення, передачі інформації і засобів зв'язку можна віднести:
– неправильний монтаж засобів;
– поломку (руйнування) засобів, в тому числі розрив (пошкодження) кабельних ліній зв'язку;
– створення аварійних ситуацій для засобів (підпал, штучне затоплення, вибух та ін.);
– відключення засобів від систем;
– виведення з ладу або порушення режиму роботи систем забезпечення функціонування засобів;
– вмонтування в ЕОМ радіо- і програмних закладних пристроїв.
Цей вид дестабілізувального впливу призводить до реалізації трьох форм прояву уразливості інформації: знищення, спотворення і блокування.
Способами порушення режиму роботи технічних засобів відображення, зберігання, обробки, відтворення, передачі інформації, засобів зв'язку і технології обробки інформації можуть бути:
– пошкодження окремих елементів засобів;
– порушення правил експлуатації засобів;
– внесення змін до порядку обробки інформації;
– зараження програм обробки інформації шкідливими програмами;
– видача неправильних програмних команд;
– перевищення розрахункового числа запитів;
– створення завад у радіоефірі за допомогою додаткового звукового або шумового фону, зміни (накладення) частот передачі інформації;
– передача хибних сигналів;
– порушення (зміна) режиму роботи систем забезпечення функціонування засобів.
Даний вид дестабілізувального впливу також призводить до знищення, перекручення і блокування інформації.
До способів виведення з ладу і порушення режиму роботи систем забезпечення, функціонування технічних засобів відображення, зберігання, обробки, відтворення і передачі інформації слід віднести:
– неправильний монтаж систем;
– поломку (руйнування) систем або їх елементів;
– створення аварійних ситуацій для систем (підпал, штучне затоплення, вибух і т. д.);
– відключення систем від джерел живлення;
– порушення правил експлуатації систем.
Цей вид дестабілізувального впливу призводить до тих же результатів, що і два попередні види.
До видів дестабілізуючого впливу на захищувану інформацію з боку іншого джерела впливу – технічних засобів відображення, зберігання, обробки, відтворення, передачі інформації і засобів зв'язку – відносять:
1. Виведення засобів з ладу;
2. Збої в роботі засобів;
3. Створення електромагнітних випромінювань.
Вихід засобів з ладу, що призводить до неможливості виконання операцій, може відбуватися шляхом:
– технічної поломки, аварії (без втручання людей);
– загоряння, затоплення (без втручання людей);
– виходу з ладу систем забезпечення функціонування засобів;
– впливу природних явищ;
– впливу зміненої структури навколишнього магнітного поля;
– зараження програм обробки інформації шкідливими програмами (шляхом розмноження останніх або з заражених дискет);
– руйнування або пошкодження носія інформації, в тому числі розмагнічування магнітного шару диска (стрічки) через осипання магнітного порошку.
Цей вид дестабілізувального впливу призводить до реалізації трьох форм прояву уразливості інформації: знищення, перекручення, блокування.
Збої в роботі засобів, що призводять до неправильного виконання операцій (помилок), можуть відбуватися в зв’язку з:
– виникненням технічних несправностей елементів засобів;
– зараженням програм обробки інформації шкідливими програмами (шляхом розмноження останніх або з заражених дискет);
– впливом природних явищ;
– впливом навколишнього магнітного поля;
– частковим розмагнічування магнітного шару диска (стрічки) через осипання магнітного порошку;
– порушенням режиму функціонування засобів.
Даний вид дестабілізувального впливу призводить до реалізації чотирьох форм прояву уразливості інформації: знищення, перекручення, блокування, розголошенню (приклад останньої – телефонне з’єднання не з тим абонентом, який набирався, або чутність розмови інших осіб через несправність в ланцюгах комунікації телефонної станції). Електромагнітні випромінювання, в тому числі побічні, що утворюються в процесі експлуатації засобів, призводять до розкрадання інформації.
Наступне джерело дестабілізувального впливу на інформацію – системи забезпечення функціонування технічних засобів відображення, зберігання, обробки, відтворення і передачі інформації – має два види впливу:
1. Вихід систем з ладу.
2. Збої в роботі систем.
Вихід систем з ладу може відбуватися шляхом:
– поломки, аварії (без втручання людей);
– загоряння, затоплення (без втручання людей);
– виходу з ладу джерел живлення;
– впливу природних явищ.
Цей вид дестабілізувального впливу призводить до реалізації трьох форм прояву уразливості інформації: знищення, блокування, викривлення.
Збої в роботі систем можуть здійснюватися за допомогою:
– появи технічних несправностей елементів систем;
– впливу природних явищ;
– порушення режиму роботи джерел живлення.
Результатом дестабілізувального впливу також є знищення, блокування, спотворення інформації.
Видом дестабілізувального впливу на інформацію з боку технологічних процесів окремих промислових об'єктів є зміна структури навколишнього середовища. Це вплив здійснюється шляхом:
– зміни природного радіаційного фону навколишнього середовища, що відбуваються при функціонуванні об'єктів ядерної енергетики;
– зміни хімічного складу навколишнього середовища, що відбувається при функціонуванні об'єктів хімічної промисловості;
– зміни локальної структури магнітного поля, що відбуваються внаслідок діяльності об'єктів радіоелектроніки і з виготовлення деяких видів озброєння і військової техніки.
Цей вид дестабілізувального впливу в кінцевому підсумку призводить до розкрадання ІзОД.
Останнє джерело дестабілізувального впливу на інформацію – природні явища, що охоплюють стихійні лиха і атмосферні явища (коливання).
До стихійних лих і одночасно видів впливу слід віднести: землетруси, повені, шторми, зсуви, лавини, виверження вулканів; до атмосферних явищ (видів впливу): грозу, дощ, сніг, перепади температури і вологості повітря, магнітні бурі.
Способами впливу з боку і стихійних лих, і атмосферних явищ можуть бути руйнування (поломки), землетруси, загоряння носіїв інформації засобів відображення, зберігання, обробки, відтворення, передачі інформації і засобів зв'язку, систем забезпечення функціонування цих засобів, порушення режиму роботи засобів і систем, а також технології обробки інформації, створення паразитних наведень (грозові розряди).
Ці види впливу призводять до п'яти форм прояву уразливості інформації: втрати, знищення, перекручення, блокування і розкрадання.
При розгляді ознак і складових загрози захищуваній інформації було сказано, що в основі будь-якого дестабілізувального впливу лежать певні причини, спонукальні мотиви, які зумовлюють появу того чи іншого виду і способу впливу. Разом з тим і причини мають під собою підстави – обставини або передумови, які викликають ці чинники, сприяють їхній появі. Однак наявність джерел, видів, способів, причин і обставин (передумов) дестабілізувального впливу на інформацію є потенційно існуючою небезпекою, яка може бути реалізована тільки при наявності певних умов для цього.
3.3 Розроблення плану захисту інформації
На другому етапі розробляється план ТЗІ, що містить організаційні, первинні технічні та основні технічні заходи захисту ІзОД, визначаються зони безпеки інформації.
Організаційні заходи регламентують порядок інформаційної діяльності з урахуванням норм і вимог ТЗІ для всіх періодів життєвого циклу ОІД.
Первинні технічні заходи передбачають захист інформації блокуванням загроз без використання засобів ТЗІ.
Основні технічні заходи передбачають захист інформації з використанням засобів забезпечення ТЗІ.
Заходи захисту інформації повинні:
• бути відповідними загрозам;
• бути розробленими з урахуванням можливої шкоди від їх реалізації і вартості захисних заходів та обмежень, що вносяться ними;
• забезпечувати задану ефективність захисту інформації на встановленому рівні протягом часу обмеження доступу до неї або можливості здійснення загроз.
Рівень захисту інформації означується системою кількісних та якісних показників, які забезпечують розв’язання завдання захисту інформації на основі норм та вимог ТЗІ.
Мінімально необхідний рівень захисту інформації забезпечують обмежувальними і фрагментарними заходами протидії найнебезпечнішій загрозі.
Підвищення рівня захисту інформації досягається нарощуванням технічних заходів протидії безлічі загроз.
Порядок розрахунку та інструментального визначення зон безпеки інформації, реалізації заходів ТЗІ, розрахунку ефективності захисту та порядок атестації технічних засобів забезпечення інформаційної діяльності, робочих місць (приміщень) регламентується нормативними документами системи ТЗІ.
3.4 Реалізація плану захисту інформації
На третьому етапі слід реалізувати організаційні, первинні технічні та основні технічні заходи захисту ІзОД, установити необхідні зони безпеки інформації, провести атестацію технічних засобів забезпечення інформаційної діяльності, технічних засобів захисту інформації, робочих місць (приміщень) на відповідність вимогам безпеки інформації.
Технічний захист інформації забезпечується застосуванням захищених програм і технічних засобів забезпечення інформаційної діяльності, програмних і технічних засобів захисту інформації (далі – засоби ТЗІ) та контролю ефективності захисту, які мають cертифікат відповідності вимогам нормативних документів системи УкрСЕПРО або дозвіл на їх використання від уповноваженого Кабінетом Міністрів України органу, а також застосуванням спеціальних інженерно-технічних споруд, засобів і систем (далі – засоби забезпечення ТЗІ).
Засоби ТЗІ можуть функціонувати автономно або спільно з технічними засобами забезпечення інформаційної діяльності у вигляді самостійних пристроїв або вбудованих у них складових елементів.
Склад засобів забезпечення ТЗІ, перелік їх постачальників, а також послуг з установлення, монтажу, налагодження та обслуговування визначаються особами, що володіють, користуються і розпоряджаються ІзОД самостійно або за рекомендаціями спеціалістів з ТЗІ згідно з нормативними документами системи ТЗІ.
Надання послуг з ТЗІ, атестацію та сервісне обслуговування засобів забезпечення ТЗІ можуть здійснювати юридичні і фізичні особи, що мають ліцензію на право проведення цих робіт, видану Державною службою спеціального зв’язку та захисту інформації України.
3.5 Організація проведення обстеження об’єктів інформаційної діяльності
Метою обстеження об’єктів інформаційної діяльності є вивчення їхньої ІД, визначення об`єктів захисту – ІзОД, виявлення загроз, їхній аналіз та побудова окремої моделі загроз [9].
Обстеження повинно бути проведено комісією, склад якої визначається відповідальною за ТЗІ особою і затверджується наказом керівника підприємства.
У ході обстеження необхідно:
– провести аналіз умов функціонування ОІД підприємства, їх розташування на місцевості (ситуаційного плану) для визначення можливих джерел загроз;
– дослідити засоби забезпечення ІД, які мають вихід за межі контрольованої території;
– вивчити схеми засобів і систем життєзабезпечення ОІД (електроживлення, заземлення, автоматизації, пожежної та охоронної сигналізації), а також інженерних комунікацій та металоконструкцій;
– дослідити інформаційні потоки, технологічні процеси передачі, одержання, використання, розповсюдження і зберігання (далі – оброблення) інформації і провести необхідні вимірювання;
– визначити наявність та технічний стан засобів забезпечення ТЗІ;
– перевірити наявність на ОІД нормативних документів, які забезпечують функціонування системи захисту інформації, організацію проектування будівельних робіт з урахуванням вимог ТЗІ, а також нормативної та експлуатаційної документації, яка забезпечує ІД;
– виявити наявність транзитних, незадіяних (повітряних, настінних, зовнішніх та закладених у каналізацію) кабелів, кіл і проводів;
– визначити технічні засоби і системи, застосування яких не обґрунтовано службовою чи виробничою необхідністю і які підлягають демонтуванню;
– визначити технічні засоби, що потребують переобладнання (перемонтування) та встановлення засобів ТЗІ.
За результатами обстеження слід скласти акт, який повинен бути затверджений керівником підприємства.
Матеріали обстеження необхідно використовувати під час розроблення окремої моделі загроз, яка повинна містити:
– генеральний та ситуаційний плани підприємства, схеми розташування засобів і систем забезпечення ІД, а також інженерних комунікацій, які виходять за межі контрольованої території;
– схеми та описи каналів витоку інформації, каналів спеціального впливу і шляхів несанкціонованого доступу до ІзОД;
– оцінку шкоди, яка передбачається від реалізації загроз.
3.6 Організація розроблення системи захисту інформації
На підставі матеріалів обстеження та окремої моделі загроз необхідно визначити головні задачі захисту інформації і скласти технічне завдання (ТЗ) на розроблення системи захисту інформації.
ТЗ повинно мати такі основні розділи:
– вимоги до системи захисту інформації;
– вимоги до складу проектної та експлуатаційної документації;
– етапи виконання робіт;
– порядок внесення змін і доповнень до розділів ТЗ;
– вимоги до порядку проведення випробування системи захисту.
Основою функціонування системи захисту інформації є план ТЗІ, що повинен містити такі документи:
– перелік розпорядчих, організаційно-методичних, нормативних документів з ТЗІ, а також вказівки щодо їхнього застосування;
– інструкції про порядок реалізації організаційних, первинних технічних та основних технічних заходів захисту;
– інструкції, що встановлюють обов`язки, права та відповідальність персоналу;
– календарний план ТЗІ.
ТЗ і план ТЗІ розробляють спеціалісти з ТЗІ, узгоджують із зацікавленими підрозділами (організаціями). Затверджує їх керівник підприємства.
3.7 Реалізація організаційних заходів захисту
Організаційні заходи захисту інформації – комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення задач захисту шляхом регламентації діяльності персоналу і порядку функціонування засобів (систем) забезпечення ІД та засобів (систем) забезпечення ТЗІ [8].
У процесі розроблення і реалізації організаційних заходів потрібно:
– визначити окремі задачі захисту ІзОД;
– обґрунтувати структуру і технологію функціонування системи захисту інформації;
– розробити і впровадити правила реалізації заходів ТЗІ;
– визначити і встановити права та обов`язки підрозділів і осіб, що беруть участь в обробленні ІзОД;
– придбати засоби забезпечення ТЗІ та нормативні документи і забезпечити ними ОІД підприємства;
– установити порядок упровадження захищених засобів оброблення інформації, програмних і технічних засобів захисту інформації, а також засобів контролю ТЗІ;
– установити порядок контролю функціонування системи захисту інформації та її якісних характеристик;
– визначити зони безпеки інформації;
– установити порядок проведення атестації системи захисту інформації, її елементів і розробити програми атестаційного випробування;
– забезпечити керування системою захисту інформації.
Оперативне вирішення задач ТЗІ досягається організацією керування системою захисту інформації, для чого необхідно:
– вивчати й аналізувати технологію проходження ІзОД у процесі ІД;
– оцінювати схильність ІзОД до впливу загроз у конкретний момент часу;
– оцінювати очікувану ефективність застосування засобів забезпечення ТЗІ;
– визначати (за необхідності) додаткову потребу в засобах забезпечення ТЗІ;
– здійснювати збирання, оброблення та реєстрацію даних, які стосуються ТЗІ;
– розробляти і реалізовувати пропозиції щодо коригування плану ТЗІ в цілому або окремих його елементів.
3.8 Організаційно - правові заходи щодо охорони державної таємниці
З метою охорони державної таємниці впроваджуються:
– єдині вимоги до виготовлення, користування, зберігання, передачі, транспортування та обліку матеріальних носіїв секретної інформації;
– дозвільний порядок провадження органами державної влади діяльності, пов'язаної з державною таємницею;
– обмеження оприлюднення, передачі іншій державі або поширення іншим шляхом секретної інформації;
– обмеження щодо перебування та діяльності в Україні іноземців, осіб без громадянства та іноземних юридичних осіб, їх доступу до державної таємниці, а також розташування та переміщення об'єктів і технічних засобів, що їм належать;
– особливості здійснення органами державної влади їх функцій щодо органів державної влади, діяльність яких пов'язана з державною таємницею;
– ведення режиму обмеження доступу в органах державної влади, органів місцевого самоврядування, підприємств, установ і організацій, що провадять діяльність, пов'язану з державною таємницею;
– спеціальний порядок допуску та доступу громадян до державної таємниці;
– технічний та криптографічний захисти секретної інформації.
3.9 Реалізація первинних технічних заходів захисту
У процесі реалізації первинних технічних заходів потрібно забезпечити:
– блокування каналів витоку інформації;
– блокування несанкціонованого доступу до інформації чи її носіїв;
– перевірку справності та працездатності технічних засобів забезпечення ІД.
Блокування каналів витоку інформації може здійснюватися:
– демонтуванням технічних засобів, ліній зв'язку, сигналізації та керування, енергетичних мереж, використання яких не пов'язано з життєзабезпеченням ОІД та обробленням ІзОД;
– видаленням окремих елементів технічних засобів, які є середовищем поширення полів та сигналів, з приміщень, де циркулює ІзОД;
– тимчасовим відключенням технічних засобів, які не беруть участі в обробленні ІзОД, від ліній зв'язку, сигналізації, керування та енергетичних мереж;
– застосуванням способів та схемних рішень із захисту інформації, що не порушують основних технічних характеристик засобів забезпечення ІД.
Блокування несанкціонованого доступу до інформації або її носіїв може здійснюватися:
– створенням умов роботи в межах установленого регламенту;
– унеможливленням використання програмних, програмно-апаратних засобів, що не пройшли перевірки (випробування).
Перевірку справності та працездатності технічних засобів і систем забезпечення ІД необхідно проводити відповідно до експлуатаційних документів.
Виявлені несправні блоки й елементи можуть сприяти витоку або порушенню цілісності інформації і підлягають негайній заміні (демонтуванню).
3.10 Реалізація основних технічних заходів захисту
У процесі реалізації основних технічних заходів захисту потрібно:
– установити засоби виявлення та індикації загроз і перевірити їхню працездатність;
– установити захищені засоби оброблення інформації, засоби ТЗІ та перевірити їхню працездатність;
– застосувати програмні засоби захисту в засобах обчислювальної техніки, автоматизованих системах, здійснити їхнє тестування і тестування на відповідність вимогам захищеності;
– застосувати спеціальні інженерно-технічні споруди, засоби (системи).
Вибір засобів забезпечення ТЗІ зумовлюється фрагментарним або комплексним способом захисту інформації.
Фрагментарний захист забезпечує протидію певній загрозі.
Комплексний захист забезпечує одночасну протидію безлічі загроз.
Засоби виявлення та індикації загроз застосовують для сигналізації та оповіщення власника (користувача, розпорядника) ІзОД про витік інформації чи порушення її цілісності.
Засоби ТЗІ застосовуються автономно або спільно з технічними засобами забезпечення ІД для пасивного або активного приховування ІзОД [7].
Для пасивного приховування застосовують фільтри-обмежувачі, лінійні фільтри, спеціальні абонентські пристрої захисту та електромагнітні екрани.
Для активного приховування застосовують вузькосмугові й широкосмугові генератори лінійного та просторового зашумлення.
Програмні засоби застосовуються для забезпечення:
– ідентифікації та автентифікації користувачів, персоналу і ресурсів системи оброблення інформації;
– розмежування доступу користувачів до інформації, засобів обчислювальної техніки і технічних засобів автоматизованих систем;
– цілісності інформації та конфігурації автоматизованих систем;
– реєстрації та обліку дій користувачів;
– маскування оброблюваної інформації;
– реагування (сигналізація, відключення, зупинення робіт, відмови у запиті) на спроби несанкціонованих дій.
Спеціальні інженерно-технічні споруди, засоби та системи застосовуються для оптичного, акустичного, електромагнітного та іншого екранування носіїв інформації.
До них належать спеціально обладнані світлопроникні, технологічні та санітарно-технічні отвори, а також спеціальні камери, перекриття, навіси, канали тощо.
Розміщення, монтування та прокладання спеціальних інженерно-технічних засобів і систем, серед них систем заземлення та електроживлення засобів забезпечення ІД, слід здійснювати відповідно до вимог нормативних документів з ТЗІ [10].
Технічні характеристики, порядок застосування та перевірки засобів забезпечення ТЗІ наводять у відповідній експлуатаційній документації.
3.11 Приймання, визначення повноти та якості робіт
За результатами виконання рекомендацій акта обстеження та реалізації заходів захисту ІзОД слід скласти у довільній формі акт приймання робіт з ТЗІ, який повинен підписати виконавець робіт, особа, відповідальна за ТЗІ, та затвердити — керівник підприємства.
Для визначення повноти та якості робіт з ТЗІ слід провести атестацію. Атестація виконується організаціями, які мають ліцензії на право діяльності в галузі ТЗІ.
Об`єктами атестації є системи забезпечення ІД та їхні окремі елементи, де циркулює інформація, що підлягає технічному захисту.
У ході атестації потрібно:
– установити відповідність атестованого об`єкта вимогам ТЗІ;
– оцінити якість та надійність заходів захисту інформації;
– оцінити повноту та достатність технічної документації для об`єкта атестації;
Назад
Зміст
Вперед
